Wymogi kwalifikacyjne wyznaczenia inspektora ochrony danych 92

W art. 37 ust. 5 RODO określono wymagania stawione kandydato-wi na inspektora. To wymagania o charakterze merytorycznym odno-szące się do kwalifikacji zawodowych, a w szczególności wiedzy facho-wej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39. W RODO nie skonkretyzowano tych wymagań, pozostawiając to administratorowi lub podmiotowi przetwarzającemu, który angażuje inspektora. W przy-padku IOD w sektorze publicznym należałoby stawiać wymóg dyspono-wania przez niego wiedzą na temat przepisów regulujących funkcjono-wanie organów lub podmiotów, które obsługuje. Chodzi tu zarówno o specyfikę ochrony danych osobowych poszczególnych sektorach ad-ministracji publicznej, jak i o znajomość zagadnień ustrojowych, mate-rialnych i proceduralnych. I nie chodzi tu wyłącznie o znajomość k.p.a. czy procedury postępowania przed Prezesem Urzędu Ochrony Danych Osobowych. Z pewnością inspektor musi posiadać wiedzę w obszarze europejskich i krajowych przepisów dotyczących ochrony danych oso-bowych – wskazuje na to motyw 97 preambuły RODO, podkreśla to także Grupa Robocza Art. 29 w wytycznych dotyczących IOD. Wyko-nywanie zadań IOD wymaga także praktycznego przygotowania popar-tego odpowiednim doświadczeniem zawodowym. Charakter obowiązków IOD oraz charakter administratora lub podmiotu przetwarzającego wy-znaczają, o jaką wiedzę i o jakie doświadczenie chodzi w konkretnym przypadku.

5. Podstawa sprawowania funkcji IOD

Zgodnie z art. 37 ust. 6 RODO inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego, lub wykonywać zadania na podstawie umowy o świadczenie usług. Wybór podstawy sprawowania funkcji przez inspektora należy do podmiotu, który go wyznacza, i dotyczy w równym stopniu sektora publicznego, jak i prywatnego. Inspektor może być pracownikiem zatrudnionym w jednostce albo osobą zewnętrzną. Inspektora można wyznaczyć w ra-mach zatrudnienia pracowniczego, podporządkowanego przepisom prawa pracy bądź zatrudnienia cywilnoprawnego ze wskazaniem na umowę zlecenie – zgodnie z potrzebami administratora lub procesora w zakresie ochrony danych osobowych, z uwzględnieniem przyjętych zasad polityki kadrowej, analizy kosztów zatrudnienia, kwestii odpowie-dzialności prawnej itp. Podstawowym kryterium wyboru inspektora powinien być profesjonalizm w wykonywaniu zadań79. Niemniej nieza-leżnie od wyboru podstawy zatrudnienia RODO nie przewiduje możli-wości przeniesienia odpowiedzialności w zakresie ochrony danych oso-bowych ciążącej z mocy prawa na administratorze czy procesorze na inspektora, nawet wówczas, jeśli IOD pełni funkcję na zasadzie outso-urcingu. W obu wariantach czas trwania nawiązanego stosunku praw-nego jest uzależniony od woli stron, aczkolwiek w przypadku prawno-pracowniczego stosunku prawnego należy brać pod uwagę uwarunkowania i ograniczenia wynikające z kodeksu pracy.

Przywołany art. 37 ust. 6 RODO nie precyzuje, co oznacza pozo-stawanie „członkiem personelu” oraz nie klaruje, o jaką „umowę o świad-czenie usług” chodzi i nie określa jej stron.

Zwłaszcza w przypadku wykonywania zadań IOD „na podstawie umowy o świadczenie usług” powstają istotne kwestie interpretacyjne.

Nadto usługa IOD może być dostarczana konkretnemu administratorowi czy podmiotowi przetwarzającemu, którzy dokonali indywidualnego wyboru, i wyznaczenia IOD, ale i przypadku określonego w art. 37 ust. 3 RODO, gdy jeden IOD ma być wyznaczony dla więcej niż jednego pod-miotu w sektorze publicznym.

Analogicznie jak Grupa Robocza Art. 29 należy przyjąć, że umo-wa dotycząca świadczenia usług przez IOD może być zaumo-warta zarówno bezpośrednio z osobą fizyczną, która świadczy usługi jako IOD, jak i z innym podmiotem spoza organizacji administratora lub podmiotu przetwarzającego, który na podstawie tejże umowy „dostarczać będzie” IOD do konkretnego podmiotu. Niezbędne jest, aby każda osoba dzia-łająca jako IOD na rzecz podmiotu sprawującego funkcję IOD spełnia-ła wszystkie odpowiednie wymogi określone przez RODO dla IOD. Wymagane jest także, aby taki podmiot oraz każda z osób świadczących usługi jako IOD korzystała z gwarancji, jakimi RODO obejmuje osobę pełniącą funkcję inspektora. Nie może mieć zatem miejsca nieuzasad-nione rozwiązanie umowy o świadczenie usług w zakresie pełnienia funkcji IOD czy też niezgodne z prawem zwolnienie osoby będącej członkiem podmiotu realizującego zadania inspektora ochrony danych. Każda z osób wykonujących funkcję IOD musi unikać konfliktu inte-resów. Powinien to zapewnić podmiot dostarczający usługi IOD admi-nistratorom lub podmiotom przetwarzającym. Zaakcentować przy tym trzeba, że RODO nie określa rodzaju stosunku prawnego, jaki ma łączyć osobę fizyczną wykonującą funkcję IOD u administratora lub proceso-ra z podmiotem związanym z administproceso-ratorem lub procesorem umową o świadczenie usługi IOD. Dlatego też z aprobatą podchodzić należy do praktyki, że osoby te mogą być zarówno zatrudniane przez ten pod-miot na podstawie umowy o pracę, jak i wykonywać te czynności na

podstawie umowy cywilnoprawnej80. Taki stan rzeczy istniał także pod rządami poprzedniej s.u.o.d.o. z 1997 r.81

Dobrą stroną świadczenia usługi IOD przez podmiot instytucjonal-ny jest to, że w pracy zespołowej można połączyć indywidualne atuty i umiejętności tak, aby zapewnić wydajniejszą obsługę swoich klientów, –na co zwraca uwagę Grupa Robocza Art. 29 w Wytycznych WP 243. Jednak, jak podkreśla Grupa, w celu zapewnienia przejrzystości prawnej, dobrej organizacji i uniknięcia konfliktów interesów wśród członków zespołu, zalecany jest wyraźny podział zadań w jego ramach oraz wy-znaczenie jednej osoby jako wiodącej osoby kontaktowej i osoby odpo-wiedzialnej za każdego klienta, a określenie tych kwestii byłoby wska-zane w umowie o świadczenie usług82.

Przedmiotem świadczenia w umowie o świadczenie usługi IOD, o której mowa w art. 37 ust. 6 RODO, jest wykonywanie zadań IOD określonych w art. 38-39 RODO, a także innych przepisach tego rozpo-rządzenia. Niemniej zadania wykonywane przez IOD w konkretnym przypadku mogą być określone w taki sposób, że ich treści wykraczały poza te wymienione wprost w przywołanych przepisach, byleby ich określenie nie powodowało konfliktu interesów w rozumieniu art. 38 ust. 6 RODO. Jeśli umowa dotyczy świadczenia usługi IOD przez podmiot inny niż osoba fizyczna faktycznie wykonująca te czynności, umowa powinna zawierać albo imienne wskazanie osoby IOD wykonującej za-dania na rzecz usługodawcy, albo określać zasady jej wyznaczenia. Jednocześnie umowę o świadczenie usługi IOD kwalifikować należy jako umowę powierzenia przetwarzania, co oznacza, że powinna spełniać wymogi art. 28 RODO.

80 A. Nerka, op. cit., s. 413-414.

81 Zob. M. Sakowska-Baryła, Prawo do ochrony danych osobowych, Wrocław 2015, s. 178.